¿Cumple mi empresa con la LOPDGDD o Ley Orgánica de Protección de Datos Personales y Garantías de Derechos Digitales? No son pocas las dudas que se nos plantean al respecto, pues cada vez los empresarios son más conscientes de que el cumplimiento de la LOPDGDD no es un mero trámite que hay que realizar para no incurrir en sanciones económicas, sino que es una ley que viene a proteger, tanto al empresario como al usuario en la gestión de sus datos personales y del uso que se hace de ellos.

En este artículo vamos a desvelar los aspectos más importantes de una ley que nos afecta casi en cada cosa que hacemos en nuestro día a día, desde enviar o recibir un simple correo electrónico, a manejar datos de carácter médico de un paciente o cliente de nuestra clínica, óptica o farmacia.

¿Cómo puede una empresa saber si cumple o no con la protección de datos?

Esta es una pregunta que se hacen los responsables de las empresas muy a menudo, ya que desde la entrada en vigor del RGPD no se tienen que inscribir los ficheros en la AEPD.

En la ley 15/1999 de 13 de Diciembre (LOPD) uno de los requisitos a los que estábamos obligadas todas las organizaciones, era inscribir los ficheros de protección de datos en la Agencia Española de protección de datos (AEPD). Se hacía de forma telemática o por Fax, como resultado de este trámite, la organización recibía de la AEPD una carta certificada donde se comunicaba la aceptación de los ficheros registrados.

Esto llevó a confusión a muchos responsables al creer que con este trámite ya se cumplía con la ley. Al mismo tiempo, fue aprovechado por oportunistas que ofrecían el servicio de inscribir los ficheros como si de la protección de datos se tratara, incluso regalando la protección de datos de la empresa a cambio de inscribir a sus trabajadores en algún curso de formación subvencionado.

El Reglamento Europeo, llega a la conclusión que el hecho de inscribir los ficheros no aportaba nada y suponía un esfuerzo administrativo y financiero sin sentido y que debía sustituirse por procedimientos y mecanismos eficaces. La AEPD se hace eco de las prácticas fraudulentas en su comunicado de julio de 2019 donde habla del denominado coste cero por la adecuación incompleta y no personalizado de la protección de datos de una organización.

Atendiendo consultas de empresas y autónomos, al informarles de sus obligaciones, muchos se dan cuenta que llevan tiempo creyendo tenerlo bien, no siendo así, en algunos casos incluso, teniendo contratado un servicio de consultoría. A raíz de esta situación que se repite casi a diario, quiero arrojar un poco de luz a los responsables que quieren saber si cumplen o no con lo establecido en la ley.

Hoy la ley que nos ampara es la Ley 3/2018/de 5 de diciembre de protección de datos  personales y garantía de los derechos digitales LOPDGDD y por supuesto el Reglamento 2016/679 de 27 de Abril General de Protección de Datos (RGPD).

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el Artículo 5 apartado 1 del Reglamento UE/2016/679 y capaz de demostrarlo.

El principio de responsabilidad proactiva exige una actitud: consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo”.

En la anterior ley (LOPD) existía un documento estructurado llamado, DOCUMENTO DE SEGURIDAD, que servía para identificar los diferentes tratamientos de la organización. En la nueva normativa, se pretende ir un paso más allá, dando una mayor relevancia a la figura de Delegado de Protección de datos (DPD) y a los expertos en el Derecho. Otorgándoles la libertad de diseñar desde cero, las medidas técnicas y organizativas según las circunstancias particulares de cada organización para cumplir por defecto con las obligaciones establecidas en la ley. Ocasionando de este modo el menor trastorno tanto para la organización como para el usuario.

Una protección de datos bien diseñada se traduce entre otras en:

ok Buena imagen
ok Seguridad para nuestros clientes.
ok Ahorro de medios administrativos
ok Ahorro de medios económicos
ok Ahorro en coste jurídico
ok Prevención de intrusiones
ok Prevención de ataques de ciberseguridad, etc.

 

¿Cómo puede una empresa saber si cumple o no con la protección de datos?

¿Cómo puede una empresa saber si cumple o no con la protección de datos?

Algunas de las medidas de responsabilidad activa podrían ser las siguientes:

Análisis de riesgo.

Analizar la organización y su actividad con la finalidad de definir los tratamiento que realiza, identificar los ficheros en términos de protección de datos, el personal involucrado en el tratamiento, los procesos, la vida útil de los datos, los riesgos, la posibilidad y la probabilidad de que estos se puedan materializar, el impacto que supondría una violación de seguridad para los afectados y cómo mitigar ese riesgo para que el tratamiento sea aceptable, etc.

Evaluaciones de impacto sobre la protección de datos.

En algunas ocasiones en empresas que auditamos, como parte de la documentación que nos aporta, encontramos evaluaciones de impacto realizadas sin haber sido solicitadas ni indicadas. En programas informáticos utilizados por algunos consultores, para automatizar los procesos de realización de la documentación de protección de datos, se hace por defecto.
Al respecto el RGPD en su considerando 84 nos dice:

A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos.

Una EIPD no es un documento trivial, ya que su realización debe estar indicada, justificada y en el debe incluirse un informe ejecutivo que debe reflejar la situación, si es o no lícito el tratamiento y/o que medidas deben tomarse para que los sea. Un apunte importante es que podrá ser requerida por la autoridad de control.

Protección de datos desde el diseño y por defecto.

La realización de un razonamiento previo para ejecución y puesta en marcha de medidas técnicas y organizativas que puedan afectar al funcionamiento de una actividad puede ahorrar más de un quebradero de cabeza, por ejemplo:

En un servicio de gestión de averías del hogar, si el cliente no da su consentimiento, la empresa no podrá ceder sus datos al técnico subcontratado más próximo, ya que no sería lícita esa cesión de datos.

En una web comercial, si en el formulario de contacto no se pide el consentimiento , no será lícito el envío de la información solicitada.

En un taller mecánico, si no se solicita el consentimiento a tratamiento de datos personales no será lícito el envío de un presupuesto o factura .

Nombramiento del Delegado de Protección de Datos.

Algunas organizaciones están obligadas a nombrar un DPD, ese nombramiento debe quedar registrado ante la AEPD y es responsabilidad de Responsable del Tratamiento escoger a una persona adecuada para el puesto, este no puede ser el gerente, el propietario o el administrador de la organización por una cuestión de incompatibilidad de intereses, algo muy común.

Registro de actividades del tratamiento.

Aunque esta obligación se constituya como una novedad del Reglamento, es el resultado de la evolución de la ya existente obligación de inscribir los ficheros en el Registro General de la Agencia Española de Protección de Datos.
La ley nos dice que:

No se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

¿Qué debemos hacer si no tenemos 250 empleados y no somos una clínica dental o una óptica, una farmacia o un bufete de abogados?

Tenemos que recordar que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en el Artículo 5 apartado 1 del Reglamento UE/2016/679 y capaz de demostrarlo.
Por tanto, se entiende que las organizaciones deben contar con un documento estructurado donde se muestre suficientes garantías para realizar los tratamientos inherentes a su actividad.

Adopción de medidas de seguridad.

La conclusión tanto del análisis de riesgo como de la evaluación de impacto será adoptar las medidas técnicas y organizativas necesarias para mitigar los posibles riesgos que conlleve realizar los diferentes tratamientos. Estas podrán ser diferentes teniendo en cuenta: el estado de la técnica, los riesgos para los derechos y libertades, el coste de la aplicación, la naturaleza, alcance, contexto y fines del tratamiento.

Notificaciones de “violaciones de seguridad de los datos” y otros procesos que debemos prever.

Dentro de los procesos que debemos prever, se encuentra, informar si fuera necesario de una violación de seguridad. Esta podría ser por ejemplo, la sustracción de un equipo informático con documentación relativa a protección de datos.

Si por el riesgo para los afectados estuviera indicado notificar a la autoridad de control, se deberá hacer en tiempo y forma. Podrá requerirse una evaluación de impacto a fin de indicarnos que actuaciones debemos seguir para reducir el impacto sobre los afectados.

También merece mención en este punto posibilitar de forma fácil para el usuario, el ejercicio sus derechos, recogidos en el propio RGPD, dejando registro de todo el proceso para poder así hacer frente a posibles reclamaciones y/o denuncias.

 



En CEMEBAL SOLUTIONS somos expertos en dar soluciones globales para la implantación del RGPD y la LSSI,  a todo tipo de empresas en las Islas Baleares.

Si necesitas información sobre nuestros servicios, estaremos encantados de ayudarte.

Puedes contactar con nosotros llamando al teléfono:

Tef. +34 971 912 723

Si lo prefieres, también puedes enviarnos un correo 

Categorías: Blog